forum.opennet.ru

"Атака по захвату кошельков Electrum через zero-day уязвимост..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Есть идеи по улучшению форума и сайта ? Пишите.

. "Атака по захвату кошельков Electrum через zero-day уязвимост..."	+1 +/–
Сообщение от Аноним (-), 16-Фев-18, 22:43
> Насчет припарок к питону - нет. Так можно на каждый скрипт лепить сложную систему, которая не защитит в результате ни от чего. Сама по себе система не защищает. Зато она даёт индикацию, что может скомпромитировать модуль. Имея этот список можно уже *ать мозг разрабу напредмет того "а ули в манифесте прописано это, ты случаем уху не ел?". Причём благодаря тому, что это энфорсится на уровне языка для вредоносности придётся задекларировать это в манифесте. То есть скрыто бекдор не внедрить, придётся написать в манифесте "мы внедрили бекдор". А проверить манифест проще и надёжнее, чем путём статического анализа выискивать бекдоры. >Почему не настроить профиль Selinux или Apparmor? Профиль на конкретное приложение, а не на сам питон. Вообще-то это не новая идея, в академической науке это придумали давно и реализовали в виде экспериментальных языков, как называются не помню. Хотели получить систему, позволяющие писать программы, которые доказуемо безопасны в определённом смысле. Конкретно, они имели в яп систему меток, метили секретные данные метками и доказывали, что данные, помеченные как секретные, не утекут. А потом взлетел ЯП rust, что показывает успешность такого подхода. Я предлагаю скрестить этот подход с модульностью и разрешениями.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Атака по захвату кошельков Electrum через zero-day уязвимост..., opennews, 15-Фев-18, 12:11 [смотреть все]

Игрушечные языки такие игрушечные , Аноним, 15-Фев-18, 12:11 (1) //
- В своё время была истерия по поводу goto в результате которой про эту команду уж, A.Stahl, 15-Фев-18, 12:15 (3) //
  - Это копипастакодеры, а не программисты , pavlinux, 15-Фев-18, 14:01 (17)
  - code __label__ exit for u32 foo HUGE foo --foo for u32 bar HUGE2 , eganru, 15-Фев-18, 17:09 (38) //
    - И , A.Stahl, 15-Фев-18, 17:25 (41)
    - Вложенный цикл лучше в отдельную функцию выделить, и goto станет не нужен , Аноним, 15-Фев-18, 22:30 (71)
      - i лучше в отдельную функцию выделить i - и это будет яркий пример костыля лиш, eganru, 16-Фев-18, 00:15 (77)
        
        Кстати про единорогов Правильность кода - это не пустые слова Можешь хоть ско, iPony, 16-Фев-18, 05:58 (82)
        
        i этакого фундаментального по голове i - я неоднократно видел как куски CENS, eganru, 16-Фев-18, 08:32 (87)
        
        PS https twitter com Code_Analysis status 963450814059696129, iPony, 16-Фев-18, 05:59 (83)
      - Даёшь каждому циклу по функции А лучше - по целому классу о времена, о нрав, anomymous, 17-Фев-18, 12:55 (113)
    - bool cancel false for u32 foo HUGE foo cancel --foo for u32 ba, Аноним, 16-Фев-18, 02:30 (80)
      - По производительности уступает варианту с goto Всё в функцию и return - это да , mickvav, 16-Фев-18, 09:26 (88)
        
        на создание дополнительной функции должны быть серьезные аргументы добавит ли в , eganru, 16-Фев-18, 11:12 (90)
        
        Конечно Гораздо же лучше одна функция на тысячи две строк и с кучей вложенных д, А, 16-Фев-18, 23:13 (104)
        
        i Гораздо же лучше одна функция на тысячи две строк i - это Вы написали Я эт, eganru, 17-Фев-18, 08:58 (109)
        В ядре Linux полно таких goto И ничего - всё нормально , anomymous, 17-Фев-18, 12:56 (115)
        
        Так это твоих рук дело, аноним Приберись там, негоже оставлять после себя мусор, Anonymoustus, 17-Фев-18, 19:02 (122)
        
        Таки goto обычное дело в обработке ошибок Потому что если все профакапилось, вл, Аноним, 18-Фев-18, 17:09 (127)
        
        Уговорил , Anonymoustus, 18-Фев-18, 20:31 (134)
      - gt оверквотинг удален Сами догадаетесь, почему этот метод является ущербным , anomymous, 17-Фев-18, 12:56 (114)
    - for u32 foo HUGE foo --foo for u32 bar HUGE2 bar --bar if , Аноним, 17-Фев-18, 15:59 (119)
      - классический костыль руки отрывать , Аноним, 21-Фев-18, 12:29 (140)
  - GOTO -- нормальная команда Без нее нет жизни Для выскочить из вложенного цикла, adolfus, 15-Фев-18, 19:19 (58) //
    - Ты забыл сообщить нам что вода мокрая и у квадрата целых 4 прямых угла , A.Stahl, 15-Фев-18, 19:41 (60)
    - А нечего вложенные циклы лепить Функциональщики и вовсе без них как-то живут, и, Аноним, 15-Фев-18, 20:59 (66)
      - Функциональщики и прочие маргиналы неплохо обходятся и без программирования вооб, Аноним, 15-Фев-18, 22:20 (69)
      - У функциональщиков есть лямбды, Аноним, 21-Фев-18, 12:30 (141)
    - Если синтаксический разбор делать yacc-ом, то все goto он создаст сам, а в коде , mickvav, 16-Фев-18, 09:29 (89)
  - Согласен В школьные годы всегда считал, что в каждом нормальном языке должна бы, Онаним, 16-Фев-18, 06:09 (84) //
    - Насколько чуть Полгода хотя бы прошло , Аноним, 17-Фев-18, 20:31 (123)
  - Про ассемблерный JMP такой бучи не было, Аноним, 16-Фев-18, 14:37 (96) //
    - Вот да, только хотел предложить убрать JMP и оформлять всё CALL RET ами , anomymous, 17-Фев-18, 12:57 (116)
- Т е использование eval вас смущает, а широковещательная рассылка сообщений с , pda, 15-Фев-18, 15:48 (32) //
  - И что именно там смущать должно , Аноним, 15-Фев-18, 17:39 (42) //
    - Может то же самое, что и вариант чисто широковещательного TCP без маршрутировани, Аноним, 21-Фев-18, 12:35 (142)
  - Возможно, изучение протокола по новостям на опеннете - не самый лучший подход , Аноним84701, 15-Фев-18, 18:14 (53)
  - Ты все правильно понял, у штуки проблемы с масштабированием В конце концов хипс, Аноним, 15-Фев-18, 22:30 (70)
Эталон дырявости , Аноним, 15-Фев-18, 12:12 (2)
Питон, одним словом , Аноним, 15-Фев-18, 12:31 (5) //
- Ага, не проверите границы массивов в С - привет переполнение, рут права Не в , курлык курлык, 15-Фев-18, 12:36 (6) //
  - Используй range-based for loop, передавай по ссылке, и не будет переполнения , Аноним, 15-Фев-18, 13:51 (14) //
    - Так вот в чистом Си range-based и нет, она только в плюсах , trolleybus, 15-Фев-18, 13:56 (15)
      - В Си есть макросы Python лучше сравнивать с C Си - скорее системный язык , Аноним, 15-Фев-18, 14:04 (18)
        
        Для любителей хайлевела на си есть libcello Там и итераторы есть, и лямбды, и ч, Аноним, 19-Фев-18, 21:42 (135)
        
        Но и скорость у этого либчелло соответствующая, ближе к жабе и ЖС Сборщик мусор, Аноним, 19-Фев-18, 22:30 (139)
      - ну вот и пользуйтесь плюсами, Crazy Alex, 15-Фев-18, 18:34 (54)
        
        а мы будем и дальше за границы массива выходить Думаю так задумывалось, Он самый, 15-Фев-18, 19:56 (62)
        
        Э кем задумывалось Если обо мне речь - то наоборот, я не вижу ни одной причи, Crazy Alex, 15-Фев-18, 21:08 (67)
        
        На сях в коде больше народа потом может разобраться На плюсах заканчивается тем, Аноним, 18-Фев-18, 17:13 (128)
  - Питон - высокоуровневый язык И программист, и пользователи за это платят гигант, Аноним, 15-Фев-18, 13:59 (16) //
    - удивленно глядя на пару питоновских сервисов не микро, в смысле, не падают, их , нах, 15-Фев-18, 14:06 (19)
      - Дело не в Ваших сервисах Дело в том, что подобные вещи пропагандируются и пропи, Аноним, 15-Фев-18, 14:40 (25)
        
        убунтовцы упаковщики, а не разработчики если у них нет денег, чтобы спроектиров, Аноним, 15-Фев-18, 14:52 (26)
        
        Стим работает приемлемо Не так плохо, как скайп, но и не хорошо При том до это, Аноним, 15-Фев-18, 16:29 (35)
        
        Как угодно но игроделы это все-же не хипстеры И плохо, не плохо, напиши лучше и, Аноним, 18-Фев-18, 17:53 (129)
        
        Всё правильно Поэтому надо строить фабрики по сжиганию программистов Слишком и, Anonymoustus, 15-Фев-18, 18:06 (51)
  - Точнее не в людях, а в пороге вхождения Пока научишься на С делать что-то удобов, Iaaa, 15-Фев-18, 15:25 (29)
- А что скажут анонимные аналитки о недавней уязвимости в КДЕ https www opennet , Аноним, 15-Фев-18, 17:55 (47) //
  - А вот в Rust такого не было бы https doc rust-lang org std process struct Comm, Нет ты, 15-Фев-18, 20:53 (63)
  - Втыкал флешку в Plasma 5 10 с меткой тома kcalc , не запускается Похоже, что и, Аноним, 18-Фев-18, 10:37 (124)
Кучу лет пишу на Питоне, и до сих пор не встречал ситуаций где нужно было бы исп, Пиони, 15-Фев-18, 12:46 (7) //
- Это Вы эталонную реализацию клиента для p2p-сети Bitmessage ещё не пробовали пис, анончег, 15-Фев-18, 13:12 (8) //
  - Если без eval никак да еще и со взодящими данными то это уже вопрос компетентнос, Анонй, 15-Фев-18, 13:26 (9) //
    - Не знаю как там с компетентностью писателей, но твой детектор сарказма явно неис, A.Stahl, 15-Фев-18, 13:35 (10)
    - Говорить о компетентности среди гвидобейсиководов, это как говорить в доме повеш, Аноним, 15-Фев-18, 14:15 (22)
      - https www opennet ru opennews art shtml num 48038Всегда знал, что кедерасты на, Аноним, 15-Фев-18, 17:48 (45)
- Пишу на perl и не один раз встречал ситуацию где оптимальнее использовать eval , Аноним, 15-Фев-18, 17:44 (43) //
  - Иногда в ИТ 8212 очень часто проблема в инструменте Точнее в том, что не с, Anonymoustus, 15-Фев-18, 18:09 (52) //
    - Вы видите проблему в инструменте, но проблема возникает чуть раньше - когда обез, Аноним, 15-Фев-18, 19:56 (61)
      - И кто же тогда будет писать и переписывать приложения для браузеров, менять ме, Аноним, 15-Фев-18, 20:58 (65)
        
        Действительно, я упустил из виду необходимые и важные для обезьян вещи , Аноним, 16-Фев-18, 00:51 (78)
      - А как это сделать Раньше этому препятствовал сравнительно высокий порог вхожден, Anonymoustus, 15-Фев-18, 22:36 (73)
        
        заменить их работу алгоритмами, Аноним, 16-Фев-18, 00:52 (79)
    - Проблема не в инструменте Проблема в доступе обезьяны к таковому , anomymous, 17-Фев-18, 12:59 (117)
  - Вы не путайте перловый эвал, который eval code here с питоновским эвалом, , Аноним, 16-Фев-18, 14:26 (94) //
    - подскажите в чем отличие Перл может евалить как выражение, так и блок по сутиэто, Аноним, 16-Фев-18, 14:40 (97)
      - perldoc -f evalДостаточно исчерпывающая дока , Аноним, 17-Фев-18, 06:17 (107)
    - В перле две формы eval a, если что eval , оно не влияет на скорость выполнен, Аноним, 17-Фев-18, 06:16 (106)
  - Честно говоря не встречал в перле случаев, когда евал нужен не для обработки иск, Аноним, 16-Фев-18, 14:37 (95) //
    - Выше, 106, Аноним, 17-Фев-18, 06:20 (108)
- Либо вам не надо было встраивать бекдоры, либо вы взяли что-то похитрее вроде pi, Аноним, 15-Фев-18, 23:37 (76) //
  - на самом деле pickle для внешних данных это тоже бекдор Если нужно обмениватьс, pangolin, 16-Фев-18, 08:24 (85) //
    - Именно так Но половина пакетов поставляется с пиклами Вторая половина не имеет, Аноним, 18-Фев-18, 18:42 (132)
    - Понимаешь, веб-макака, шифрованные сообщения и криптографические ключи не очень , Аноним, 19-Фев-18, 21:51 (136)
Вот вам и типа безопасные языки И они от уязвимостей не застрахованы, а то тут , Аноним, 15-Фев-18, 13:42 (11) //
- Фронты производительности, потребления ресурсов и безопасности питона прорваны , Аноним, 15-Фев-18, 14:10 (20) //
  - Такое и других скриптовых языков может касаться и исполняемой в JVM Жабы тоже , Аноним, 18-Фев-18, 10:42 (125)
- php не менее безопасный И местами более производительный А толку , PnDx, 15-Фев-18, 17:17 (39)
Eval внешних данных - это не уязвимость Это бэкдор , тоже Аноним, 15-Фев-18, 13:46 (12) //
- Бэкдор - это если добавлено умышленно с целью получения несанкционированного дос, Нанобот, 17-Фев-18, 16:17 (120) //
  - Правдоподобное отрицание plausible deniability , как термин, не зря придумали, Аноним84701, 17-Фев-18, 18:02 (121)
вот бывают же идииоты человеку не хватило возможностей языка СВЕРХвысокого уров, Xasd, 15-Фев-18, 13:48 (13) //
- Люди не хотят думать и работать Поэтому питон, электрон и им подобные в тренде , Аноним, 15-Фев-18, 14:54 (27)
- Мозгов ему не хватило, Crazy Alex, 15-Фев-18, 18:38 (56)
Ничего страшного, там ещё есть запас в 2 eval a, для любителей похакать https , ILoveIslam, 15-Фев-18, 14:16 (24) //
- Второй вполне себе напоминает бэкдор address userInput What address would you, Аноним, 15-Фев-18, 15:08 (28) //
  - Это божественно , username, 16-Фев-18, 21:09 (102) //
    - С каких пор codermonkey относят к священным животным , Аноним, 19-Фев-18, 21:55 (137)
Атака по захвату кошельков Electrum через zero-day уязвимост..., Аноним, 15-Фев-18, 15:26 (30) //
- Не просто уязвимость с eval, а передача untrusted input для выполнения в eval Э, anomymous, 17-Фев-18, 13:01 (118)
electrum wallets Они же шифрованные, пока пароль не введёшь Electrum не знает, Аноним, 15-Фев-18, 15:42 (31) //
- Ну может пароль в глобальной переменной скриптонщиков всего можно ожидать Тогд, Аноним, 15-Фев-18, 16:27 (34)
- прям все шифрованные , Аноним, 15-Фев-18, 16:52 (36)
а дальше беспощадный брут, Аноним, 15-Фев-18, 15:57 (33) //
- Делать больше нечего Вешаешь кей-логгер Если не терпится, можно спровоцирова, PnDx, 15-Фев-18, 17:22 (40)
я, видимо, туповат Поясните, пожалуйста, какая взаимосвязь междуPyBitmessage ни, Аноним, 15-Фев-18, 17:04 (37) //
- То, что Bitmessage используют в основном те, кто занимается криптовалютами - оно, Crazy Alex, 15-Фев-18, 18:39 (57) //
  - я с 2013-го года имею дело с криптойв основном по работени разу не слышал про Bi, Аноним, 15-Фев-18, 19:20 (59) //
    - По-моему хайп на эту тему был лет пять назад, вместе с хайпом по поводу неймкоин, Crazy Alex, 15-Фев-18, 21:17 (68)
  - Его пишут хипстеры и пользуются такие же хипстеры Даже не панки Cypherpunks пр, Аноним, 18-Фев-18, 17:58 (130)
Это прекрасно и православно , Anonymoustus, 15-Фев-18, 18:02 (49)
Авот на телеграме , Аноним, 15-Фев-18, 22:31 (72) //
- Минимум у одного свидетеля безопасного телеграма рвануло, найс , Аноним, 16-Фев-18, 08:31 (86)
Это не уязвимость, а бекдор Если проект использует eval, compile, pickle, shelv, Аноним, 15-Фев-18, 22:59 (74) //
- Насчет бэкдора - согласен Насчет припарок к питону - нет Так можно на каждый с, Аноним, 16-Фев-18, 11:32 (91) //
  - Сама по себе система не защищает Зато она даёт индикацию, что может скомпромити , Аноним, 16-Фев-18, 22:43 (103)
- After all, we are all consenting adults here , неймфаг, 16-Фев-18, 11:46 (93) //
  - Оно и видно, что доступ к кошелькам был санкционированным , Аноним, 16-Фев-18, 23:58 (105)
- Милашка Как простыню бреда писать - так пожалуйста, как запостить туда, где она, Crazy Alex, 16-Фев-18, 20:25 (101)
- Знаешь, если хоть раз в жизни bitmessage увидеть - это таки может быть и уязвимо, Аноним, 18-Фев-18, 18:01 (131) //
  - Тупняк это, возможно, мельтдаун eval же удаленной строки данных - это не тупняк, Аноним, 18-Фев-18, 18:45 (133) //
    - Ты все-же посмотри код этого bitmessage, или вообще попробуй его скачать Что ту, Аноним, 19-Фев-18, 22:04 (138)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру